Szyfrowanie Bitcoin nie jest zagrożone przez komputery kwantowe z jednego prostego powodu: ono tak naprawdę nie istnieje

Wbrew powszechnemu przekonaniu, komputery kwantowe nie „złamią” szyfrowania Bitcoin; zamiast tego, każde realistyczne zagrożenie skupiłoby się na wykorzystaniu podpisów cyfrowych powiązanych z ujawnionymi kluczami publicznymi.

Komputery kwantowe nie mogą odszyfrować Bitcoin, ponieważ nie przechowuje on żadnych zaszyfrowanych sekretów w łańcuchu bloków.

Własność jest egzekwowana przez podpisy cyfrowe oraz zobowiązania oparte na funkcjach skrótu, a nie przez tekst zaszyfrowany.

Ryzyko kwantowe, które ma znaczenie, to ryzyko fałszerstwa autoryzacji.

Jeśli kryptograficznie relewantny komputer kwantowy mógłby uruchomić algorytm Shora przeciwko kryptografii eliptycznych krzywych Bitcoin, mógłby wyprowadzić klucz prywatny z klucza publicznego znajdującego się w łańcuchu bloków, a następnie wygenerować ważny podpis dla konkurencyjnego wydatku.

Wiele z narracji „komputery kwantowe łamią szyfrowanie Bitcoin” wynika z błędu terminologicznego. Adam Back, wieloletni deweloper Bitcoin i wynalazca Hashcash, podsumował to na X:

„Pro-tip dla promotorów FUD kwantowego. Bitcoin nie używa szyfrowania. Zdobądź podstawy albo się zdradzisz.”

Oddzielny post wyjaśnił tę różnicę jeszcze wyraźniej, zauważając, że atakujący kwantowy nie „odszyfruje” niczego, lecz zamiast tego użyje algorytmu Shora, aby wyprowadzić klucz prywatny z ujawnionego klucza publicznego:

„Szyfrowanie odnosi się do ukrywania informacji, aby tylko osoby z kluczem mogły ją odczytać. Bitcoin tego nie robi. Blockchain to publiczna księga; każdy może zobaczyć każdą transakcję, każdą kwotę i każdy adres. Nic nie jest zaszyfrowane.”

Dlaczego ekspozycja klucza publicznego, a nie szyfrowanie, jest prawdziwym wąskim gardłem bezpieczeństwa Bitcoin

Systemy podpisów Bitcoin, ECDSA i Schnorr, służą do udowodnienia kontroli nad parą kluczy.

W tym modelu monety są przejmowane przez wygenerowanie podpisu, który sieć zaakceptuje.

Dlatego ekspozycja klucza publicznego jest kluczowa.

To, czy wyjście jest ujawnione, zależy od tego, co pojawia się w łańcuchu bloków.

Wiele formatów adresów zobowiązuje się do skrótu klucza publicznego, więc surowy klucz publiczny nie jest ujawniany, dopóki transakcja nie zostanie wydana.

To zawęża okno czasowe dla atakującego, aby obliczyć klucz prywatny i opublikować sprzeczną transakcję.

Inne typy skryptów ujawniają klucz publiczny wcześniej, a ponowne użycie adresu może zamienić jednorazowe ujawnienie w trwały cel.

Otwarty projekt Eleven „Bitcoin Risq List” definiuje ekspozycję na poziomie skryptu i ponownego użycia.

Mapuje, gdzie klucz publiczny jest już dostępny dla potencjalnego atakującego z algorytmem Shora.

Dlaczego ryzyko kwantowe jest mierzalne już dziś, nawet jeśli nie jest nieuchronne

Taproot zmienia wzorzec ekspozycji w sposób istotny tylko wtedy, gdy pojawią się duże, odporne na błędy maszyny.

Wyjścia Taproot (P2TR) zawierają 32-bajtowy zmodyfikowany klucz publiczny w programie wyjściowym, zamiast skrótu klucza publicznego, jak opisano w BIP 341.

Dokumentacja zapytania Project Eleven obejmuje P2TR obok pay-to-pubkey i niektórych form multisig jako kategorie, w których klucze publiczne są widoczne w wyjściach.

To nie tworzy dziś nowej podatności.

Jednak zmienia to, co staje się domyślnie ujawnione, jeśli odzyskiwanie kluczy stanie się możliwe.

Ponieważ ekspozycja jest mierzalna, podatna pula może być śledzona już dziś bez określania osi czasu kwantowej.

Project Eleven twierdzi, że przeprowadza automatyczne cotygodniowe skanowanie i publikuje koncepcję „Bitcoin Risq List”, mającą na celu objęcie każdego adresu podatnego na kwanty oraz jego salda, szczegółowo opisaną w poście metodologicznym.

Jego publiczny tracker pokazuje główną wartość około 6,7 miliona BTC, które spełniają jego kryteria ekspozycji.

Po stronie obliczeniowej kluczowa różnica dotyczy logicznych kubitów i fizycznych kubitów.

W artykule „Quantum resource estimates for computing elliptic curve discrete logarithms” Roetteler i współautorzy podają górną granicę maksymalnie 9n + 2⌈log2(n)⌉ + 10 logicznych kubitów do obliczenia logarytmu dyskretnego krzywej eliptycznej nad n-bitowym polem pierwszym.

Dla n = 256 daje to około 2 330 logicznych kubitów.

Przekształcenie tego w maszynę z korekcją błędów, która może uruchomić głęboki obwód przy niskim wskaźniku błędów, to miejsce, gdzie dominują koszty fizycznych kubitów i czas.

Wybory architektoniczne wyznaczają szeroki zakres czasów wykonania

Szacunek Litinskiego z 2023 roku określa obliczenie klucza prywatnego 256-bitowej krzywej eliptycznej na około 50 milionów bramek Toffoli.

Zgodnie z jego założeniami, podejście modułowe mogłoby obliczyć jeden klucz w około 10 minut, używając około 6,9 miliona fizycznych kubitów.

W podsumowaniu Schneier on Security dotyczącym powiązanych prac, szacunki skupiają się wokół 13 milionów fizycznych kubitów, aby złamać w ciągu jednego dnia.

Ta sama linia szacunków cytuje także około 317 milionów fizycznych kubitów, aby celować w okno godzinne, w zależności od założeń dotyczących czasu i wskaźnika błędów.

Dla operacji Bitcoin, bliższe dźwignie to zachowania i poziom protokołu.

Ponowne użycie adresu zwiększa ekspozycję, a projekt portfela może ją zmniejszyć.

Analiza portfela Project Eleven zauważa, że gdy klucz publiczny znajdzie się w łańcuchu bloków, przyszłe wpływy na ten sam adres pozostają ujawnione.

Jeśli odzyskiwanie klucza kiedykolwiek zmieści się w interwale bloku, atakujący ścigałby wydatki z ujawnionych wyjść, a nie przepisywałby historię konsensusu.

Funkcje skrótu są często włączane do narracji, ale kwantowa dźwignia w tym przypadku to algorytm Grovera.

Grover zapewnia przyspieszenie pierwiastkowe dla wyszukiwania brute-force, a nie złamanie logarytmu dyskretnego, jak Shor.

Badania NIST nad praktycznym kosztem ataków w stylu Grovera podkreślają, że koszty ogólne i korekcja błędów kształtują koszt na poziomie systemu.

W modelu idealizowanym, dla preobrazów SHA-256, cel pozostaje rzędu 2^128 pracy po Groverze.

To nie jest porównywalne ze złamaniem logarytmu dyskretnego ECC.

Pozostaje migracja podpisów, gdzie ograniczeniami są przepustowość, przechowywanie, opłaty i koordynacja.

Podpisy post-kwantowe mają często rozmiar kilobajtów, a nie dziesiątek bajtów, do których przyzwyczajeni są użytkownicy.

To zmienia ekonomię wagi transakcji i doświadczenie użytkownika portfela.

Dlaczego ryzyko kwantowe to wyzwanie migracyjne, a nie bezpośrednie zagrożenie

Poza Bitcoin, NIST standaryzował prymitywy post-kwantowe, takie jak ML-KEM (FIPS 203), jako część szerszego planowania migracji.

W Bitcoin, BIP 360 proponuje typ wyjścia „Pay to Quantum Resistant Hash”.

Tymczasem qbip.org argumentuje za wycofaniem podpisów dziedziczonych, aby wymusić zachęty do migracji i zmniejszyć długi ogon ujawnionych kluczy.

Najnowsze mapy drogowe korporacji dodają kontekst, dlaczego temat jest przedstawiany jako infrastruktura, a nie nagły przypadek.

W niedawnym raporcie Reuters, IBM omówił postępy w komponentach korekcji błędów i powtórzył ścieżkę do systemu odpornego na błędy około 2029 roku.

Reuters opisał również twierdzenie IBM, że kluczowy algorytm korekcji błędów kwantowych może działać na konwencjonalnych chipach AMD, w osobnym raporcie.

W tym ujęciu „komputery kwantowe łamią szyfrowanie Bitcoin” zawodzi zarówno w terminologii, jak i mechanice.

Mierzalnymi elementami są to, jaka część zbioru UTXO ma ujawnione klucze publiczne, jak zachowanie portfela zmienia się w odpowiedzi na tę ekspozycję oraz jak szybko sieć może przyjąć ścieżki wydatków odporne na kwanty, zachowując jednocześnie ograniczenia walidacji i rynku opłat.

Post Bitcoin encryption isn’t at risk from quantum computers for one simple reason: it doesn’t actually exist appeared first on CryptoSlate.